Im ImageMagick-Paket, das häufig von Web-Entwicklern zur Bildbearbeitung verwendet wird, wurde die Schwachstelle CVE-2022-44268 entdeckt. Diese kann zu einer unbefugten Offenlegung von Dateiinhalten führen, wenn ImageMagick mithilfe von speziell präparierten PNG-Bildern, die von Angreifern stammen, konvertiert wird. Die Schwachstelle bedroht Systeme, die externe Bilder verarbeiten und anschließend die Ergebnisse der Konvertierung bereitstellen.
Die Schwachstelle entsteht dadurch, dass ImageMagick beim Verarbeiten von PNG-Bildern den Inhalt des Parameters „profile“ aus dem Metadatenblock verwendet, um den Dateinamen des Profils zu bestimmen, der in die Ausgabedatei eingefügt wird. Daher genügt es, dem PNG-Bild einen „profile“-Parameter mit dem gewünschten Dateipfad (z.B. „/etc/passwd“) hinzuzufügen. Bei der Verarbeitung eines solchen Bildes – beispielsweise beim Ändern der Bildgröße – wird der Inhalt der angegebenen Datei in die Ausgabedatei aufgenommen. Wenn anstelle des Dateinamens „-“ angegeben wird, wartet der Verarbeiter auf Eingaben aus dem Standard-Stream, was für die Durchführung eines Denial-of-Service-Angriffs (CVE-2022-44267) genutzt werden kann.
Ein Update zur Behebung der Sicherheitsanfälligkeit wurde bisher nicht veröffentlicht, aber die Entwickler von ImageMagick haben empfohlen, als vorübergehende Lösung Regeln einzurichten, die den Zugriff auf bestimmte Dateipfade einschränken. Um den Zugang über absolute und relative Pfade in der policy.xml zu verbieten, könnte man Folgendes hinzufügen: <policy domain="path" rights="none" pattern="/*."/> <policy domain="path" rights="none" pattern="../*."/>
Ein Skript zur Generierung von ausnutzbaren PNG-Bildern ist bereits öffentlich zugänglich.

Quelle: opennet.ru
